Meltdown & Spectre

Aus Linux Bibel
Wechseln zu: Navigation, Suche

Informationen

Linux gilt dank seiner Techniken die UNIX-ähnlich sind, den Zugriffsrechten und verschiedenen anderen Systemen um einiges sicherer als andere Systeme wie etwa Microsoft Windows. Dies ist auch Realität auch wenn so manche meinen Linux wäre nur deshalb sicherer weil es weniger verbreitet ist.

Im letzten Jahr, also 2017 wurde eine auf Intels CPU-Design die Hardware-Lücke Meltdown entdeckt, diese Lücke ermöglicht es nach Einschleusung von Code das System zu unterwandern - dies noch dazu auf relativ einfache Art und Weise, eine zweite Lücke dieser Art namens Spectre die es gleich in zwei Varianten gibt wurde in den CPU's von AMD/ATI entdeckt - diese ist aber weitaus schwieriger auszunutzen.

Im Gegensatz zu Lücken unter System und Software sind diese Lücken wie beschrieben auf der Hardware basierend - dies bedeutet "Alle Betriebssystem sind betroffen".

Welcher Prozessor ist eingebaut?

Die Lücke Meltdown sollte nun grundsätzlich auf halbwegs aktuell gehaltenen Betriebssystemen durch Updates des Kernels geschlossen worden sein. Ob Sie von der Lücke überhaupt betroffen sind - und das ist zu 90 Prozent jeder Rechner der ab 1995 gekauft wurde (die Prozessoren werden auch noch immer eingebaut) - zeigt Ihnen auf dem Terminal / Konsole / Kommandozeile der Befehl:

cat /proc/cpuinfo

Hier werden Ihnen nun alle Prozessor-Kerne und deren Informationen angezeigt, hier ein Beispiel für einen einzelnen Kern:

processor       : 0
vendor_id       : GenuineIntel
cpu family      : 6
model           : 42
model name      : Intel(R) Core(TM) i3-2350M CPU @ 2.30GHz
stepping        : 7
microcode       : 0x29
cpu MHz         : 931.656
cache size      : 3072 KB
physical id     : 0
siblings        : 4
core id         : 0
cpu cores       : 2
apicid          : 0 
initial apicid  : 0
fpu             : yes
fpu_exception   : yes
cpuid level     : 13
wp              : yes
flags           : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse 
sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc cpuid 
aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic popcnt 
tsc_deadline_timer xsave avx lahf_lm epb pti retpoline tpr_shadow vnmi flexpriority ept vpid xsaveopt dtherm arat pln pts
bugs            : cpu_meltdown spectre_v1 spectre_v2
bogomips        : 4585.29
clflush size    : 64
cache_alignment : 64
address sizes   : 36 bits physical, 48 bits virtual

Wichtig in unserem Fall sind zwei Bereiche, "model name" und "bugs", ersteres zeigt uns den Namen unseres Prozessors den wir dann etwa auf der Seite von Intel abgleichen Betroffene Intel-CPU's, scheint der Prozessor hier auf haben Sie das nette Problem. Auf einigermaßen aktuellen Systemen ist dann auch unter "bugs" gelistet ob Sie betroffen sind - in meinem Fall wie man in der Ausgabe lesen kann ist dies so:

Meltdown und Spectre - So prüfen Sie unter Linux ob Ihr System betroffen und geschützt ist

Ob Ihr System nun durch das passende Kernel-Update geschützt ist zeigt Ihnen wiederum ein kleines Shell-Script das Sie unter Github finden, das Script wird immer wieder verbessert um auch neuere Fehler der CPU zu finden und zu zeigen ob diese ausgemerzt wurden, also hin und wieder nach sehen ob es eine neuere Version gibt. Die ZIP-Datei von Github entpacken Sie einfach, die Datei auf der Linux Bibel müssen Sie nur noch ausführbar machen, entweder per Rechtsklick und "Eigenschaften / Berechtigungen / Ausführbar" oder auf dem Terminal mit:

chmod +x spectre-meltdown-checker.sh

Auf sehr aktuellen Systemen wie etwa Debian Sid können Sie das kleine Werkzeug auch ganz einfach über die Paket-Verwaltung APT - Software installieren, löschen, aktualisieren durch das Paket "spectre-meltdown-checker" installieren.

Nun wechseln wir auf dem Terminal in das entpackte Verzeichnis und führen das Script auf dem Terminal als Nutzer root (also als Administrator - root) aus durch eine der beiden Varianten:

./spectre-meltdown-checker.sh --live
sh spectre-meltdown-checker.sh --live
Meltdown und Spectre - So prüfen Sie unter Linux ob Ihr System betroffen und geschützt ist

Haben Sie das Paket installiert starten Sie den Test ganz einfach am Terminal (root) durch den Befehl:

spectre-meltdown-checker --live

Grob gesagt - rot ist schlecht, grün ist gut. In diesem Fall wurde Spectre in beiden Varianten noch nicht gefixt (VULNERABLE) und Meltdown schon (NOT VULNERABLE). Im Fall von Spectre ist dies auf jeder Linux-Distribution so - dies wird auch noch etwas dauern, ist jedoch auch weniger ein Problem als Meltdown das sehr einfach auszunutzen ist.